Säkerhetsbulletin från Debian

DSA-1022-1 storebackup -- flera sårbarheter

Rapporterat den:

2006-04-04

Berörda paket:

storebackup

Sårbara:

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 332434.
I Mitres CVE-förteckning: CVE-2005-3146, CVE-2005-3147, CVE-2005-3148.

Ytterligare information:

Flera sårbarheter har upptäckts i säkerhetskopieringsverktyget storebackup. Projektet Common Vulnerabilities and Exposures identifierar följande problem:

CVE-2005-3146
Storebackup skapade en temporär fil på ett förutsägbart sätt, vilket kunde utnyttjas till att skriva över godtyckliga filer på systemet genom att angripa symboliska länkar.
CVE-2005-3147
Rotkatalogen för säkerhetskopian skapades inte meed bestämda behörigheter, vilket kunde leda till felaktiga behörigheter om umask var satt allt för förlåtande.
CVE-2005-3148
Användar- och grupprättigheter för symboliska länkar sätts felaktigt när säkerhetskopian skapas och återställs, vilket kan läcka känslig data.

Den gamla stabila utgåvan (Woody) innehåller inte paketet storebackup.

För den stabila utgåvan (Sarge) har dessa problem rättats i version 1.18.4-2sarge1.

För den instabila utgåvan (Sid) har dessa problem rättats i version 1.19-2.

Vi rekommenderar att ni uppgraderar ert storebackup-paket.

Rättat i:

Debian GNU/Linux 3.1 (sarge)

Källkod:: http://security.debian.org/pool/updates/main/s/storebackup/storebackup_1.18.4-2sarge1.dsc; http://security.debian.org/pool/updates/main/s/storebackup/storebackup_1.18.4-2sarge1.diff.gz; http://security.debian.org/pool/updates/main/s/storebackup/storebackup_1.18.4.orig.tar.gz
Arkitekturoberoende komponent:: http://security.debian.org/pool/updates/main/s/storebackup/storebackup_1.18.4-2sarge1_all.deb

MD5-kontrollsummor för dessa filer finns i originalbulletinen.